通过对酒店网络目前普遍存在的问题,我们看到***酒店在内网行为方面在以下几个方面需要解决:
------无法做到细致的访问控制
首先酒店企业有着丰富的网络资源如:OA系统、ERP系统、WEB服务器、邮件服务器等。并且酒店的规模十分庞大,部门、人员组成十分复杂。酒店无法对这些用户进行细致的分组规定他们访问的资源的权限。还有QQ、MSN、BT等网络资源同样无法进行有效的控制,导致用户可以任意的使用网络资源使员工效率降低,并且加大了企业的风险。
------无法对内网用户的网络行为进行有效的监控
提到网络安全问题,大多数用户都只关注外网安全。但是其实企业的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。所以虽然酒店企业已经部署了防火墙等安全设备,但是无法对内网用户的网络行为进行有效的监控。
------ 没有很好的统计方法,无法得知内网的使用状况
管理员无法具体知道网络的使用情况只能听员工反映的情况,最多只能简单的记录一些ip访问情况,查寻起来非常不便。
------ 对带宽流量无法管理
不能限制入住酒店客户的网络使用,对流量无法控制,无法对酒店带宽有效的管理,导致酒店内部重要的关键应用无法正常的运转。
------ 无法保证客户端的安全性
由于员工的机器没有限制,所以无法保证在上网时的安全性,导致很容易从访问网站中感染病毒,木马,等不安全因素,从而影响整个内网用户的应用。
(根据不同的情况适当进行调整)
- 25 -
2、解决方案
2.1 AC上网行为管理设备功能介绍
(一)控制功能:细致的访问控制功能,有效管理用户上网
SINFOR AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制,更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Internet的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于Web的和LDAP/Radius集成的用户认证功能,使得对上网用户的管理变得十分灵活方便。
表3.1:访问控制功能一览表
功能模块 功能
IP-MAC绑定
性能指标
结合准入规则功能,可实现跨三层交换机的IP-MAC绑定功能
WEB认证的用户名和密码可以使用本地用户密码也可以和LDAP服务器、Microsoft 的AD服务器、Radius服务器,POP3服务器联动 支持基于Microsoft AD域的单点登陆,用户登陆域以后,不需要再次在WEB认证页面输入密码 对上网的终端进行安全检查,可检查是否安装了防病毒软件、个人防火墙软件或病毒库是否升级、操作系统是否安装安全补丁以及是否运行了某个不该运行的软件 分组、分时段,有选择性的封堵各种上网行为
能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为,防止访问非法网站
允许管理员有选择性的封堵各种P2P和IM软件
在用户达到管理员设定的最长上网时间后拒绝该用户对互联网的继续访问
数十种多达300万条URL库,控制对危险、反动、色情等各类站点的访问
基于网址/搜索引擎以及HTTP上传的关键字过滤功能。如通过WEB发邮件、通过BBS发表言论
对HTTP/ FTP上传下载的文件做文件类型过滤
可对发送的邮件做关键字、邮箱地址的过滤。保证内部机密信息不外泄漏
通过对网站的数字证书和数字签名进行审核和对照,利用SSL证书库内置的可信任证书颁布机构列表,对SSL连接的证书内容进行可信度评估,当危险站点采用了伪造的数字证书来骗取内网用户信任时,AC可以判断出其本来面目并进行阻断,避免组织成员蒙受经济损失。
身份认证 WEB认证
单点登录
客户端安全检查
网络准入规则 策略管理
上网权限控制
代理检测 P2P控制 上网时长限制 URL控制 关键字过滤 文件类型过滤
内容过滤 邮件过滤
SSL证书 过滤及控制
- 26 -
(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏
谈到安全问题时,大多数人都只关注外网安全,但其实企业的信息资产更多的不是被黑客窃取,而是通过内部泄漏的。SINFOR AC安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏,并建立强大的内部安全的威慑,减少内部泄密的行为。对于邮件类型的应用还采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送。SINFOR AC的访问审计/监控模块为企业构筑了强大的内部安全屏障。
另外, 根据国家规定,提供上网服务场所必须将上网日志保存,并以一定的技术手段进行管理;目前许多宾馆酒店都未有这种技术手段,在网络管理上存在着漏洞,达不到国家的要求.
表3.2:访问审计功能一览表 功能 邮件延迟审计 实时监控 内网监控 详细指标 对外发邮件进行延迟缓存,审计后才能发出,确保信息资产不外泄 实时监控用户的上网行为 针对员工在网上的所有行为,包括聊天记录、浏览的网页、上传下载的文件等进行详细的记录,以监控内网人员的上网行为,防止企业内部机密、情报等泄漏,并事后追查责任人 (三)报表功能:强大的数据报表中心,提供直观的上网数据统计
SINFOR AC网关拥有强大的数据中心,管理者可分组、用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息,并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能,可详细分析出企业的Internet的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。
表3.3:数据中心功能一览表 功能 流量统计日志 邮件日志 网络监控日志 准入规则日志 IPS日志 防火墙日志 日志库管理 用户管理
详细指标 包含内网流量统计概要、组流量排行、流量日志、流量趋势等,用饼状、柱型等直观地表示网络内部的流量排名 包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能,可详细统计用户所有收发邮件的具体情况 包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况 包括准入规则摘要、准入排行、准入查询等功能,管理员可对内部网络的违规机器进行详细统计和查看 包含IPS日志摘要、IPS排行、IPS查询、IPS趋势等功能,可显示详细的网络安全情况 包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能,管理员可以对防火墙的日志进行更为详细地分析 主要包含日志库信息、日志库查询、日志库切换等功能 管理员可在此新增用户、查询用户 - 27 -
(四)带宽及流量管理功能:强大的QOS功能及流量分析
SINFOR AC安全网关强大的访问控制和QOS功能可以使得酒店合理利用Internet资源,为不同的用户分配不同的带宽和上网权限,使得Internet资源得到有效利用,并大大提高员工的工作效率。
SINFOR AC安全网关可以详细记录和分析所有流量的内容,包括http、ftp、mail、telnet等常用软件的内容和常用IM软件的内容。另外还能按用户、用户组、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况。使得企业有限的带宽能得到最充分的利用,提高企业的网络利用率。
表3.4:QOS及流量控制功能一览表 功能 QOS保证 流量控制 详细指标 使用差分业务模型实现QOS 使用随机早期检测RED丢弃算法提供流量控制 能针对内网每个用户或者不同的组,限定其上网能占用的带宽资源,使企业内网带宽资源得到充分有效的利用 针对P2P应用采用上行流量和下行流量得限制,保证整个网络得带宽 (五)负载均衡和高可用性
负载均衡和高可用性
多线路 双机热备
支持多达4条Internet 线路,各线路之间可互为备份,可负载均衡 ,通过智能选择最优线路技术,有效解决南北运营商互联互通问题 通过热备技术提供高可用特性,提高网络可靠性
(六)丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等
作为一个全面的内网管理设备,SINFOR AC安全网关还提供了丰富的外部安全保障措施。除了强大的防火墙模块和VPN模块之外,SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎,对内网用户接收的邮件和下载的文件进行病毒过滤,降低了内网用户感染病毒的风险。另外,强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外,也大大提高了员工使用Internet的办公效率。同时SINFOR AC安全网关还提供了高效的IPS(入侵防御系统)功能,能有效识别和抵御3000多种攻击,更大范围的保护了企业连接到Internet的安全。
- 28 -
2.2. SINFOR AC安全网关主要技术优势
(一)深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件
(1)深度的内容检测技术:目前的P2P软件,如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件,在用TCP或者UDP数据包的传送过程中,其报文段都会有一段特征码,该特征码是用来标识其数据包类型。SINFOR AC安全网关的深度内容检测技术,可以检测出数据包的报文中相对应的特征码,并根据预置策略进行及时封堵。SINFOR AC安全网关内置了多种深度内容检测技术所依赖的特征码规则,并且可以从网站上更新下载。依靠这种技术,SINFOR AC安全网关可以封堵目前所有的P2P软件;避免了最终用户在IM或者P2P软件上浪费时间,提高了员工的工作效率和企业的生产效率,并防止泄密或由于员工泄密引起的重大损失。
(2)在线网关监控技术:与其他旁路监听的访问监控产品不同的是,SINFOR AC使用了在线网关监控技术。所有的旁路监听产品,对UDP发送的数据都难以拦截,并且拦截往往有一定时延,拦截敏感数据的效果不佳,并且容易遗漏监控数据。SINFOR AC的在线拦截监控技术能保证拦截到所有敏感数据,外出数据无一纰漏。
(二)流量控制管理
(1)P2P软件流量控制:针对目前P2P软件泛滥,完全影响网络使用带宽的情况。深
信服创造性的提出不仅仅要封堵,更重要的是进行流量的限制,彻底将P2P赶到应用的死角。针对每一种P2P应用进行上行流量和下行流量的控制。
- 29 -